Anunciada vulnerabilidad en IBM WebSphere Portal que podría permitir a un atacante remoto subir archivos arbitrarios al servidor o realizar ataques de denegación de servicio.

IBM WebSphere Portal ofrece una aplicación compuesta o infraestructura de "mashup" empresarial y las herramientas para crear soluciones basadas en SOA (Arquitectura Orientada a Servicios). WebSphere Portal contiene una amplia variedad de tecnologías destinadas a desarrollar y mantener portales B2C, B2B y B2E. 

 
El problema (con CVE-2013-6722) reside en ‘Registration/Edit My Profile Portlet’ que podría permitir a un atacante subir archivos arbitrarios al servidor y realizar ataques de denegación de servicio. Hay que señalar que la subida de archivos arbitrarios puede ser el primer paso para la realización de otro tipo de ataques, subir shells, preparación de phishings, etc. 
 
El problema afecta a las versiones WebSphere Portal 7 y 8. IBM ha publicado el parche PI07013: 
http://www.ibm.com/eserver/support/fixes/fixcentral/swg/quickorder?productid=WebSphere%20Portal&brandid=5&apar=PI07013
 
Para 8.0.0 a 8.0.0.1: 
Actualizar a Fix Pack 8.0.0.1 con Cumulative Fix 9 (CF09) y aplicar Interim Fix PI07013 (Actualización acumulativa WebSphere Portal 8.0.0.1: 
http://www-01.ibm.com/support/docview.wss?uid=swg24034497) 
 
For 7.0.0.1 a 7.0.0.2
Actualizar a Fix Pack 7.0.0.2 con Cumulative Fix 27 (CF27) (Actualización acumulativa WebSphere Portal 7.0.0.2: 
http://www.ibm.com/support/docview.wss?uid=swg24029452) 
 
Opina sobre esta noticia: 
http://unaaldia.hispasec.com/2014/02/vulnerabilidad-de-subida-de-archivos-en.html#comments
 
Más información:
 
Security Bulletin: Fix available for Unrestricted File Upload Security Vulnerability in IBM WebSphere Portal (CVE-2013-6722)
http://www-01.ibm.com/support/docview.wss?uid=swg21662873

Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Logotipos/Imágenes/Texto MR Respectiva/s Compañía/s mencionada/s en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar